QRestAI KVKK Aydınlatma Metni (6698 Sayılı KVKK m.10)
Yürürlük Tarihi: 2026-06-18 Sürüm: v1-2026-06 Veri Sorumlusu: [Yasal Şirket Unvanı] ("QRestAI", "biz", "bize", "bizim") Kayıtlı Adres: [Adres Yer Tutucu] Vergi Kimlik No / VKN: [VKN Yer Tutucu] MERSİS No: [MERSİS Yer Tutucu] VERBİS Sicil No: [VERBİS Yer Tutucu] İrtibat / İletişim: legal@qrestai.com — dpo@qrestai.com
Bu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10'uncu maddesi ile "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" (10.03.2018 tarih ve 30356 sayılı Resmî Gazete) uyarınca, veri sorumlusu sıfatıyla QRestAI tarafından hazırlanmıştır. Açık rızaya dayalı işleme faaliyetleri, KVKK m.10 ile m.5/1 ve m.6/2 gereği ayrı tutulan "Açık Rıza Metni" kapsamında ele alınır; bu Aydınlatma Metni açık rıza alımı yerine geçmez.
1. Veri Sorumlusunun Kimliği
KVKK m.3 anlamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen aşağıdaki tüzel kişidir:
- Unvan: [Yasal Şirket Unvanı]
- Adres: [Kayıtlı Adres]
- VKN: [VKN Yer Tutucu]
- MERSİS No: [MERSİS Yer Tutucu]
- VERBİS Sicil No: [VERBİS Yer Tutucu]
- E-posta: legal@qrestai.com / dpo@qrestai.com
- KEP Adresi: [KEP Adresi Yer Tutucu]
- İnternet Sitesi: https://qrestai.com
Bu metinde geçen tanımlar:
- İşletme Kullanıcısı: QRestAI'a kaydolan ve hizmeti yöneten restoran, kafe, otel veya benzeri işletme ile bu işletme adına hareket eden gerçek kişi kullanıcılar.
- Son Kullanıcı: İşletme Kullanıcısı'nın yayınladığı QR menüyü görüntüleyen veya sipariş veren misafir (ilgili kişi).
- Hizmet: QRestAI tarafından sunulan QR kod tabanlı menü yönetimi, sipariş/POS, yapay zekâ destekli içerik üretimi ve operasyonel SaaS platformu.
2. İşlenen Kişisel Veri Kategorileri
2.1 İşletme Kullanıcıları
| Veri Kategorisi | Veri Örnekleri |
|---|---|
| Kimlik | Ad-soyad, yasal şirket unvanı |
| İletişim | E-posta adresi, telefon numarası, işletme/şube adresi |
| Müşteri İşlem | Abonelik planı, işletme/şube bilgileri, ekip üyeliği ve rol |
| Finans | Fatura bilgileri, ödeme bilgileri (kart verisi QRestAI'de saklanmaz; ödeme sağlayıcısında tutulan kart son 4 hanesi referansı) |
| İşlem Güvenliği | Hash'lenmiş parola (endüstri standardı, geri döndürülemez (tek yönlü) parola hash algoritması), oturum bilgileri, IP adresi, log kayıtları |
| Pazarlama (varsa) | İletişim tercihleri |
2.2 Son Kullanıcılar (Misafirler / Diner)
| Veri Kategorisi | Veri Örnekleri |
|---|---|
| Kimlik (opsiyonel) | Sipariş sırasında girilmesi halinde ad |
| İletişim (opsiyonel) | Sipariş sırasında girilmesi halinde telefon numarası |
| Müşteri İşlem | Sipariş içeriği, masa/spot bilgisi, geri bildirim |
| İşlem Güvenliği / Analitik | Trafik analitiği için tuzlanmış (salted) IP hash'i — ham IP adresi saklanmaz |
QRestAI, Son Kullanıcılardan kural olarak özel nitelikli kişisel veri (KVKK m.6) talep etmez. Bu tür verilerin işlenmesi, yalnızca İşletme Kullanıcısı'nın menü/sipariş alanına kendi rızası ve sorumluluğu altında girmesi halinde söz konusu olabilir.
3. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz aşağıdaki amaçlarla işlenir:
- Hesap oluşturma, kimlik doğrulama ve hesap yönetimi
- Abonelik planının ve Hizmet'in sunulması, sürdürülmesi ve geliştirilmesi
- Menü içeriğinin tutulması, yayımlanması ve QR üzerinden sunulması
- Sipariş/POS süreçlerinin yürütülmesi
- Ödeme işlemlerinin gerçekleştirilmesi ve faturalandırma
- Yapay zekâ destekli içerik üretimi özelliklerinin (metin/görsel/video) sunulması ve kredi tüketiminin takibi
- Bilgi güvenliği süreçlerinin yürütülmesi, hata izleme ve dolandırıcılığın önlenmesi
- Hizmet kullanımına ilişkin toplulaştırılmış/analitik raporlamanın oluşturulması
- Talep ve şikâyetlerin takibi, müşteri ilişkilerinin yönetimi ve teknik destek
- Hukuki yükümlülüklerin yerine getirilmesi, yetkili kişi/kurum/kuruluşlara bilgi verilmesi ve hukuki taleplere yanıt verilmesi
4. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri (KVKK m.5)
Kişisel verileriniz, KVKK m.5/2'de düzenlenen aşağıdaki hukuki sebeplere dayanılarak açık rıza aranmaksızın işlenir:
| Hukuki Sebep | Uygulama |
|---|---|
| m.5/2-a — Kanunlarda açıkça öngörülmesi | Vergi/muhasebe ve saklama yükümlülükleri (VUK) |
| m.5/2-c — Sözleşmenin kurulması veya ifası | Hesap açma, abonelik, Hizmet'in sunulması, sipariş ve ödeme süreçleri |
| m.5/2-ç — Hukuki yükümlülüğün yerine getirilmesi | Mevzuattan doğan defter/belge saklama, bildirim yükümlülükleri |
| m.5/2-e — Bir hakkın tesisi, kullanılması veya korunması | Uyuşmazlık ve hukuki talep süreçleri, ispat |
| m.5/2-f — Meşru menfaat (temel hak ve özgürlüklere zarar vermemek kaydıyla) | Bilgi güvenliği, dolandırıcılığın önlenmesi, Hizmet'in iyileştirilmesi ve toplulaştırılmış analitik |
Pazarlama iletişimi ile mevzuatın açık rıza gerektirdiği diğer işleme faaliyetleri (ör. kapsam genişleten yurt dışı aktarımları için başvurulan istisnai açık rıza) KVKK m.5/1 uyarınca açık rızaya dayanır ve ayrı Açık Rıza Metni kapsamında yürütülür. Özel nitelikli kişisel veri söz konusu olursa, işleme KVKK m.6 çerçevesinde yürütülür.
5. Kişisel Verilerin Toplanma Yöntemi
Kişisel verileriniz; hesap oluşturma ve Hizmet kullanımı sırasında web ve mobil arayüzler, panel/yönetim ekranları, API çağrıları, QR menü görüntüleme ve sipariş akışları üzerinden, kısmen otomatik ve otomatik yollarla elektronik ortamda toplanır. Ödeme bilgileri, ilgili ödeme sağlayıcısının altyapısı aracılığıyla elde edilir; kart verisi QRestAI sistemlerinde saklanmaz.
6. Kişisel Verilerin Aktarılması
6.1 Yurt İçi Aktarım (KVKK m.8)
Kişisel verileriniz; yukarıdaki amaçlarla sınırlı olarak ve KVKK m.8 kapsamında, yetkili kamu kurum ve kuruluşlarına (talep halinde ve mevzuat gereği), iş ortaklarımıza, hukuk/mali müşavirlik ve denetim hizmeti aldığımız taraflara aktarılabilir.
6.2 Yurt Dışı Aktarım (KVKK m.9 — 7499 sayılı Kanun ile Güncellenen Rejim)
QRestAI, Hizmet'i sunmak için bir kısmı yurt dışında konumlanan veri işleyenlerden (alt işleyiciler) yararlanmaktadır. Yurt dışı aktarımı, 7499 sayılı Kanun ile değiştirilen ve 1 Haziran 2024 tarihinde yürürlüğe giren KVKK m.9 ile "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" (10.07.2024 tarih ve 32598 sayılı Resmî Gazete; geçiş süreci 1 Eylül 2024'te sona ermiştir) hükümlerine uygun olarak, aşağıdaki basamaklı rejim çerçevesinde gerçekleştirilir:
- Yeterlilik kararı (m.9/1): Aktarımın yapılacağı ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu'nun yeterlilik kararı bulunması.
- Uygun güvenceler (m.9/4): Yeterlilik kararı yoksa, tarafların standart sözleşme veya bağlayıcı şirket kuralları gibi uygun güvencelerden birini sağlaması (ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla).
- İstisnai (arızi) haller (m.9/6): Yukarıdakilerin sağlanamadığı hallerde, arızi olmak kaydıyla; muhtemel riskler hakkında bilgilendirilen ilgili kişinin açık rızası veya sözleşmenin ifası için zorunluluk gibi istisnaların varlığı.
Alıcı grupları ve yurt dışı veri işleyiciler (alt işleyiciler):
| Alıcı Grubu | Alt İşleyici | Amaç |
|---|---|---|
| Ödeme sağlayıcıları | Ödeme hizmeti sağlayıcıları (uluslararası ve yurt içi) | Ödeme işleme ve dolandırıcılık önleme (kart verisi ödeme hizmeti sağlayıcısı tarafından tutulur) |
| Bulut depolama / CDN | Bulut tabanlı nesne depolama ve içerik dağıtım ağı (CDN) sağlayıcısı | Görsel/video varlıklarının saklanması ve sunumu |
| Olay / analitik veri tabanı | Bulut tabanlı log ve analitik altyapı sağlayıcısı | Olay ve analitik kayıtları (90 gün ham / 3 yıl toplulaştırılmış) |
| Birincil veri tabanı | Şifrelenmiş (at-rest) veritabanları | İşlemsel (transactional) verinin saklanması |
| Önbellek | Önbellek altyapısı | Oturum ve önbellek verisi |
| Yapay zekâ sağlayıcıları | Metin / görsel / video üretim sağlayıcıları | AI destekli içerik üretimi |
| E-posta sağlayıcısı | E-posta gönderim sağlayıcısı | İşlemsel/bilgilendirme e-postaları |
Bu alıcılara yapılan yurt dışı aktarımlar, yukarıdaki m.9 basamaklı rejimine uygun olarak; yeterlilik kararı bulunmadığı hallerde standart sözleşme/uygun güvence temelinde veya uygulanabilir istisnalar çerçevesinde yürütülür.
7. Kişisel Verilerin Saklanma Süreleri
Kişisel verileriniz, işleme amacının gerektirdiği süre ile mevzuatta öngörülen asgari/azami sürelerden uzun olanı boyunca saklanır:
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Hesap ve profil bilgileri | Abonelik süresince + makul saklama süresi | Sözleşme + meşru menfaat |
| Menü içeriği | Abonelik süresince (kullanıcı silebilir) | Sözleşme |
| Fatura ve muhasebe kayıtları | 5 yıl | VUK m.253 |
| Ödeme işlem kayıtları | İlgili mevzuatın gerektirdiği süre | Hukuki yükümlülük |
| Olay/analitik kayıtları | 90 gün ham / 3 yıl toplulaştırılmış | Sistem ve meşru menfaat |
| AI çıktı arşivi | Abonelik süresince (kullanıcı silebilir) | Sözleşme |
| Hesap kapanışı sonrası artık veriler | Dışa aktarım için makul süre, ardından silme/anonimleştirme | KVKK m.7 |
Saklama süresinin sona ermesi veya işlemeyi gerektiren sebeplerin ortadan kalkması halinde kişisel verileriniz, KVKK m.7 ve "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" uyarınca silinir, yok edilir veya anonim hale getirilir.
8. İlgili Kişinin Hakları (KVKK m.11)
KVKK m.11 uyarınca, veri sorumlusuna başvurarak aşağıdaki haklara sahipsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme,
- KVKK m.7'de öngörülen şartlar çerçevesinde verilerin silinmesini veya yok edilmesini isteme,
- Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
9. Başvuru Yöntemi (Veri Sorumlusuna Başvuru Tebliği)
KVKK m.13 ve "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" (10.03.2018 tarih ve 30356 sayılı Resmî Gazete) uyarınca, m.11 kapsamındaki taleplerinizi aşağıdaki yöntemlerle iletebilirsiniz:
- Yazılı (ıslak imzalı) olarak: [Kayıtlı Adres] adresine elden teslim veya noter aracılığıyla,
- KEP (Kayıtlı Elektronik Posta) ile: [KEP Adresi Yer Tutucu],
- Güvenli elektronik imza / mobil imza ile veya sistemimizde kayıtlı e-posta adresiniz üzerinden: dpo@qrestai.com.
Başvurunuzda ad-soyad ve (yazılı başvuruda) imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa kayıtlı e-posta adresi/telefon numarası ile talep konusu bulunmalıdır.
Başvurunuz, talebin niteliğine göre en kısa sürede ve her hâlde en geç otuz (30) gün içinde sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir.
Başvurunuzun reddedilmesi, verdiğimiz yanıtı yetersiz bulmanız veya süresinde yanıt verilmemesi hâlinde; yanıtı öğrendiğiniz tarihten itibaren otuz (30) ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız saklıdır.
Veri Sorumlusu: [Yasal Şirket Unvanı] Son Güncelleme: 2026-06-18 Sürüm: v1-2026-06